Bitdefender publicó en junio de 2025 su “Cybersecurity Assessment Report”. Este informe combina una encuesta a 1.200 profesionales de TI y seguridad en seis países realizado por su laboratorio. El retrato es nítido: los ataques son más rápidos y silenciosos y se apoyan en credenciales válidas y en herramientas legítimas del propio entorno. Por otro lado los equipos operan con demasiada complejidad, poca visibilidad y presión regulatoria.
El informe sitúa la prevención proactiva (reducir superficie de ataque) al mismo nivel que la detección y respuesta y refuerza el papel del MDR (Managed Detection and Response, servicio gestionado de monitorización y respuesta 24×7).
Algunas cifras interesantes
La idea central es que detectar no basta si sobran accesos, privilegios y herramientas que puedan ser reutilizables por el atacante. Algunos datos importantes son:
-
El 68 % de los responsables prioriza reducir la superficie de ataque: deshabilitar lo que no se usa, quitar permisos innecesarios y cerrar servicios expuestos.
-
El 84 % de los incidentes relevantes usan LOTL (Living off the Land) básucmal atacante no instala nada raro, sino que usa lo que ya está en tu sistema (PowerShell, WMI, RDP, PsExec) para pasar por actividad normal.
-
El 77 % reconoce falta de visibilidad y el 50 % echa en falta automatización. Preocupa mucho que un 49 % declara burnout (el agotamiento profesional de los equipos por carga sostenida, turnos y ruido de alertas que impiden descansar y decidir con cabeza).
-
Existe una brecha de percepción, el 45 % de directivos C-levels que se declaran “muy confiados”, frente al 19 % de los mandos intermedios.
-
El BEC (Business Email Compromise, fraude por correo con suplantación de directivo o proveedor) crece y el 58 % admite presión para ocultar incidentes.
-
La salida: capas (endurecer, detectar, responder, recuperar), automatización útil y MDR para cubrir 24×7 y hacer threat hunting sin disparar plantilla.
Reflexión interna
Reducir la superficie de ataque es el primer movimiento sensato. Si sobran accesos, aplicaciones y privilegios, el atacante tiene demasiadas puertas abiertas y la detección se llena de ruido. Por eso, seis de cada diez responsables sitúan esta labor como prioridad: apagar lo que no se usa, quitar permisos que ya no hacen falta y cerrar servicios expuestos. Es la manera más rápida de quitar caminos al intruso y de facilitar el trabajo a quienes vigilan.
Buena parte del riesgo nace dentro de casa por el abuso de herramientas legítimas. El atacante no instala nada extraño, sino que se apoya en utilidades ya presentes (PowerShell, WMI, RDP o PsExec) para parecer actividad normal. Ante esto no sirve “bloquearlo todo”. Lo que funciona es conocer la línea base de cada usuario y equipo y alertar solo cuando su comportamiento se desvía de lo habitual. El análisis del comportamiento.
La complejidad de entornos y herramientas, sumada a las obligaciones de cumplimiento normativo, frena decisiones y dispersa el esfuerzo. Demasiadas piezas mal integradas crean puntos ciegos y tareas redundantes. Simplificar y estandarizar reduce fricción y deja más energía para lo importante: proteger el servicio y aprender de cada incidente.
La visibilidad y la automatización siguen siendo el talón de Aquiles. Sin telemetría útil (registros de identidad, red, endpoints y nube) el equipo va a ciegas. Sin automatizar la priorización, las alertas se acumulan y aparece el burnout: ese agotamiento profesional que deja a la gente sin aire para pensar y decidir bien. La salida pasa por modelos de aprendizaje automático que eleven lo relevante y por servicios gestionados que descarguen el 24×7.
Sobre inteligencia artificial, conviene evitar el dramatismo. No estamos viendo un “super-malware” nuevo todos los días; lo que sí ocurre es que la IA abarata el trabajo del atacante medio: correos de phishing impecables, mejor edición de código y más velocidad. En defensa, la misma tecnología acelera la correlación y la respuesta. La diferencia la marcan los datos de calidad y el gobierno de su uso.
También hay una brecha de percepción dentro de las organizaciones. Parte de la alta dirección se muestra muy confiada, mientras los equipos operativos señalan problemas de visibilidad y deuda técnica. Cuando cada nivel mira un tablero distinto, las inversiones se desalinean. Hace falta un lenguaje común, métricas compartidas y reuniones donde negocio y técnica contrasten prioridades con los mismos datos delante.
Otro punto incómodo: la presión para ocultar incidentes. Sucede más de lo que se admite y siempre sale caro. Se erosiona la confianza del cliente, se agrava el riesgo legal y se desmotiva al equipo. Una política de notificación clara, con plazos, plantillas y asesoramiento, evita decisiones precipitadas y protege a la organización.
Finalmente, MDR (Managed Detection and Response) ya no es una moda. Aporta vigilancia continua, threat hunting, forense y orquestación de respuesta sin multiplicar plantilla. Funciona mejor como modelo mixto que complementa capacidades internas, no como externalización total. Y todo esto encaja en una resiliencia por capas: endurecer lo básico para quitar oportunidades, detectar y responder con procedimientos probados y recuperar con criterios de integridad claros. No es una herramienta que se compra; es un ensamblaje coherente que se gobierna.
Es curioso como todo apunta al mismo modelo del Hypercompliance que hemos creado en Babel, pero ese, será otro post 🙂
Puedes ver el informe completo en: 2025_Cybersecurity_Assessment_Report_1751834720
Si te ha gustado la entrada puedes valorarla en: 
(No Ratings Yet)
Cargando...